
Injective SDK'da arka kapı, özel anahtarları hedef aldı
@Injectivelabs/sdk-ts v1.20.21, kaldırılmadan önce 310 kez indirildi ve araştırmacılar, herhangi bir ifşa olmuş cüzdan için anahtar döngüsü yapılmasını önerdi.
Injective'nin yaygın olarak kullanılan @injectivelabs/sdk-ts npm paketine bir tedarik zinciri saldırısı gerçekleşti; saldırganlar, cüzdan özel anahtarlarını ve seed ifadelerini çalmak için 1.20.21 sürümünü değiştirdi. Kötü niyetli sürüm kaldırıldı ve kullanım dışı bırakıldı, ancak araştırmacılar, etkilenen paketler tarafından işlenen herhangi bir sırrın tehlikeye atılmış olarak değerlendirilmesi gerektiğini uyardı.
Ana Noktalar
- Kötü niyetli bir @injectivelabs/sdk-ts sürümü (v1.20.21) değiştirilerek yakalamak için tasarlandı.özel anahtarlarve cüzdan anahtar türetim fonksiyonlarını bağlayarak ve verileri “sahte telemetri” aracılığıyla göndererek mnemonikleri.
- SDK'nın etkisi, yaklaşık 50.000 haftalık indirme ile büyük, ancak belirli tehlikeye atılan sürüm 310 indirmeden sonra kaldırıldı.
- Maruz kalma riski, doğrudan kurulumlarla sınırlı kalmayıp, v1.20.21'in Injective Labs npm kapsamındaki 17 diğer pakette sabitlenmiş olmasından kaynaklanmaktadır.
- Araştırmacılar, herhangi bir anahtarın veyatohum ifadeleriEtkilenen paketler, tehlikeye atılmış olarak geçti, Injective CEO'su Eric Chen ise sorunun çözüldüğünü ve "Ağda hiçbir fonun riske atılmadığını" belirtti, etkilenen sürümler ise kullanımdan kaldırıldı.
Injective'in npm SDK Arka Kapısı Hedefli Cüzdan Sırları
Bir yazılım tedarik zinciri saldırısı, @injectivelabs/sdk-ts npm paketine arka kapı ekleyerek Injective geliştirici araçlarını tehlikeye attı. Socket'teki güvenlik araştırmacıları, 1.20.21 sürümünün kripto cüzdanı özel anahtarlarını ve tohum ifadelerini (mnemonikler) çalacak şekilde değiştirildiğini, bunun cüzdan güvenliğine doğrudan bir saldırı olduğunu ve protokol seviyesinde bir başarısızlık olmadığını açıkladı.
Kötü niyetli kod kaldırıldı. Injective CEO'su Eric Chen, “zaten düzeltildi ve npm üzerindeki etkilenen sürümler artık kullanımdan kaldırıldı” dedi ve ekledi: “Ağda hiçbir fon risk altında değil,” olayı etkilenen derlemeleri çalıştıran geliştiricileri ve kullanıcıları etkileyebilecek bir bağımlılık ihlali olarak çerçeveledi, Injective zincirinin kendisini değil.
v1.20.21'in "Sahte Telemetri" aracılığıyla Anahtarları Nasıl Sızdırdığı
Socket'ın tanımı açıktır: “Kötü niyetli bir sürüm, cüzdan anahtar türetme fonksiyonlarını ele geçirir, özel anahtarları ve mnemonikleri kaydeder ve bunları sahte telemetri aracılığıyla dışarı sızdırır,” bu da normal cüzdan oluşturma veya türetme akışlarının gizli bilgileri sessizce sızdırabileceği anlamına gelir.
İstila yolu önemlidir. Socket, değişikliği ele geçirilmiş bir geliştirici GitHub hesabına bağladı ve şüpheli commitler 8 Haziran'da başladı. Bu, o dönemde etkilenen bağımlılığı kuran veya ona karşı inşa eden herkes için belirgin bir risk penceresi oluşturuyor.
Exfiltrasyon, karışmak için tasarlandı. Çalınan veriler kodlandı ve bir web'e gönderildi.adresMeşru bir Injective ağ sunucusuna benzemek üzere tasarlandı, uygulamaları bozmayı veya hemen alarmları tetiklemeyi önlemeyi amaçlayan kimlik bilgisi hırsızlığı ile tutarlıdır.
Patlama Yarıçapı: 50,000 Haftalık İndirme ve 17 Sabitlenmiş Paket
Paketin ölçeği operasyonel bir sorundur. @injectivelabs/sdk-ts haftada yaklaşık 50.000 indirme alıyor ve Socket bu ayak izini "Injective cüzdan iş akışlarını yöneten geliştiriciler ve uygulamalar için önemli" olarak nitelendiriyor. Belirli kötü niyetli sürüm, kaldırılmadan önce 310 kez indirildi, bu da v1.20.21'in kendisinin sınırlı onaylı dağıtımını, ancak mutlaka sınırlı aşağı akış maruziyetini öneriyor.
İkinci dereceden risk bağımlılık yayılımıdır. Socket, v1.20.21'in Injective Labs npm kapsamındaki 17 diğer pakette sabitlendiğini belirtti, "bu da SDK'yı doğrudan yüklememiş olabilecek kullanıcıları açığa çıkarıyor." Pratikte, sabitlenmiş bağımlılıklar, geçişli yüklemeler aracılığıyla bir tehlikeli sürümü inşaatlara çekebilir ve etkilenen uygulama setini SDK'yı bilerek güncelleyen ekiplerin ötesine genişletebilir.
Onarım sadece "güncelle ve devam et" değildir. Socket uyardı: "Etkilenen paketler aracılığıyla geçen herhangi bir anahtar veya mnemonik, tehlikeye girmiş olarak değerlendirilmelidir," bu da tehlikeye giren kodla temas eden herhangi bir gizli bilgi için cüzdan göçü ve anahtar döngüsü gerektirdiğini ima ediyor.
Socket ayrıca, hesabı ihlal edilen geliştiricinin tehlikeyi hızlı bir şekilde tespit ettiğini, ancak "kampanyanın kendisinin henüz tamamen kontrol altına alınmadığını" belirtti ve ek etkilenen sürümler veya paketler hakkında belirsizlik bıraktı.
Neden Tedarik Zinciri Cüzdan Hırsızlığı Kripto'da Sürekli Ortaya Çıkıyor
Bu olay bir kalıba uyuyor: saldırganlar giderek npm ve GitHub gibi güvenilir dağıtım yollarını hedef alıyor, zincir kriptografisini kırmaya çalışmak yerine.
Güvenlik İttifakı (SEAL), "tehlikeye girmiş sistemlerin, bir şirketin kendi GitHub depolarına doğrudan kötü niyetli kod itmek için kullanıldığını, tek bir ihlali bir sonraki için bir dağıtım kanalı haline getirdiğini" uyardı ve kötü amaçlı yazılımın daha geniş hale geldiğini, "bilgi hırsızları, RAT'lar (uzaktan erişim truva atları) ve arka kapı yeteneklerini tek bir paket içinde birleştiren macOS'a özgü kampanyaların artışı da dahil olmak üzere çapraz platform yükleriyle" not etti.
Teşvik açıktır. CertiK, cüzdan ihlallerinin 2026'nın ilk yarısında en maliyetli saldırı vektörü olduğunu, 33 olayda 444 milyon doların çalındığını bildirdi.
Şimdi takip etmek, ilk açıklamadan daha önemlidir. Tüccarlar ve DeFi kullanıcıları, kampanyanın tamamen kontrol altına alınıp alınmadığını, @injectivelabs/sdk-ts v1.20.21'den başka herhangi bir Injective kapsamındaki paketin etkilenip etkilenmediğini ve etkilenen inşaatlardan geçen anahtarlardan çalınan fonların doğrulanıp doğrulanmadığını kontrol etmelidir.
Geliştirici tarafında, sinyal kamu onarımıdır: Injective Labs npm kapsamındaki kullanım dışı bırakma durumu ve büyük projelerin potansiyel maruziyetten sonra anahtar döngüsü veya cüzdan göçü onaylayıp onaylamadığı.
Bunu Bir Cüzdan-Risk Olayı Olarak Değerlendirin, Bir Zincir Kesintisi Hikayesi Olarak Değil
Bunu, ihlal penceresi sırasında bağımlılığı etkileyen herkes için asimetrik bir aşağı yönlü risk ile bir cüzdan ihlali kurulumu olarak değerlendiriyorum, Injective'in zincir riskini mekanik olarak yeniden fiyatlandırması gereken bir protokol istismarı değil.
Chen'in "Ağda hiçbir fon risk altında değil," ifadesi bu çerçeve ile tutarlıdır, ancak geliştiriciler ve güçlü kullanıcılar için aciliyeti azaltmaz çünkü çalınma hedefi cüzdanları kontrol eden gizli materyaldir.
Önemli olan eşik, aşağı akış boşalmalarının etkilenen paketler aracılığıyla türetilen veya işlenen anahtarlara atfedilip atfedilmediğidir. Eğer bu bağlantı ortaya çıkarsa ve onarım Injective dApp'ler arasında eşit kalırsa, kurulum yapısal görünmeye başlar, çünkü bu bir tedarik zinciri olayını gerçek, tekrar eden cüzdan kayıplarına dönüştürür.